Mit der Verschlüsselung von personenbezogenen Daten können Unternehmen zukünftig die Wahrscheinlichkeit einer Datenpanne und somit auch eines Bußgelds verringern. Die Verarbeitung personenbezogener Daten birgt naturgemäß ein gewisses Risiko. Gerade heutzutage, da Cybervorfälle für Unternehmen einer gewissen Größe fast unvermeidbar sind. Deshalb spielt das Risikomanagement eine immer größere Rolle in der IT-Sicherheit. Dafür eignet sich unter anderem die Datenverschlüsselung.
Ganz allgemein versteht man unter Verschlüsselung ein Vorgehen, das einen Klartext durch einen Schlüssel in einen Geheimtext umwandelt, so dass die Ausgangsinformationen nur unter Verwendung des passenden Schlüssels wieder lesbar werden. Dies minimiert das Risiko eines Vorfalls bei der Datenverarbeitung, da verschlüsselte Inhalte grundsätzlich für Dritte ohne den entsprechenden Schlüssel nicht lesbar sind. Die Verschlüsselung gilt als bestes Mittel, um Daten auf ihrem Transportweg zu schützen und ist eine Möglichkeit gespeicherte personenbezogene Daten abzusichern. So wird deren Missbrauchsrisiko innerhalb des Unternehmens dadurch minimiert, dass der Zugang auf berechtigte Personen mit dem richtigen Schlüssel beschränkt wird.
Auch der Datenschutz verkennt das Risiko bei der Verarbeitung personenbezogener Daten nicht und legt dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 32 Abs. 1 Datenschutz-Grundverordnung deshalb auf, geeignete technische und organisatorische Maßnahmen zur Sicherung der personenbezogenen Daten zu treffen. Dabei sind der Stand der Technik, die Implementierungskosten, sowie die Art, der Umfang, die Umstände und der Zweck der Verarbeitung zu berücksichtigen. Neben diesen Kriterien sind auch die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen mit einzubeziehen. Dementsprechend sollte der Grad der getroffenen Sicherheitsmaßnahmen angepasst werden. Die Verschlüsselung wird dabei explizit als eine solche Maßnahme im nicht abschließenden Katalog des Art. 32 Abs. 1 EU-DSGVO angeführt.
Die Verschlüsselung personenbezogener Daten hat für den Verantwortlichen und/oder den Auftragsverarbeiter noch weitere Vorteile. So muss etwa der Verlust eines mobilen Datenträgers auf dem die Daten nach aktuellem Stand der Technik verschlüsselt wurden, in der Regel nicht gemeldet werden. Darüber hinaus haben die Aufsichtsbehörden bei der Entscheidung, ob und in welcher Höhe eine Sanktion anfällt, gemäß Art. 83 Abs. 2 lit. c) DSGVO eine erfolgte Verschlüsselung positiv zu berücksichtigen.
Passende Artikel der DSGVO
Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung Art. 32 DSGVO Sicherheit der Verarbeitung Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen PersonPassende Erwägungsgründe
(83) Sicherheit der VerarbeitungPassende Paragraphen des BDSG
§ 22 BDSG Verarbeitung besonderer Kategorien personenbezogener DatenExterne Links
Behörden
- Article 29 Data Protection Working Party ► WP 243 – Encryption (Link)
- Data Protection Authority France ► Security of personal data, Page 23 (Link)
- Data Protection Authority UK ► Guide to the GDPR – Encryption (Link)
Fachbeiträge
- Bitkom ► Risk Assessment & Datenschutz-Folgenabschätzung (Link)
- Dr. Datenschutz ► DSGVO: Müssen Kontaktformulare jetzt verschlüsselt werden? (Link)
- Dr. Datenschutz ► Verschlüsselung: symmetrisch, asymmetrisch oder hybrid? (Link)
- Kanzlei Plutte ► Gastbeitrag: Warum Sie Ihre Website auf https umstellen sollten (Link)
- Kuketz IT-Security ► Postfix: TLS-Konfiguration mit ECDSA- / RSA-Zertifikaten (Link)
- BMWI ► Kompass IT-Verschlüsselung – Orientierungs- und Entscheidungshilfen für kleine und mittlere Unternehmen (Link)